En résumé :
- Votre survie ne dépend pas de la technique, mais d’une discipline de commandement stricte appliquée dès la première minute.
- Le réflexe d’éteindre les serveurs ou de vouloir réparer soi-même est une erreur fatale qui détruit les preuves et multiplie les coûts.
- Constituez immédiatement une cellule de commandement (Direction, IT, Juridique, Com, RH) et appliquez un protocole de communication verrouillé.
- La décision de payer la rançon est stratégique et doit être guidée par des experts, jamais prise dans la panique.
L’écran devient noir. Un message s’affiche : vos données sont otages, une rançon est exigée. La panique s’installe. C’est le point de départ d’une crise qui, en 48 heures, scellera le destin de votre entreprise. Votre premier réflexe sera probablement de chercher une solution technique, d’appeler votre service informatique en panique, voire d’éteindre les serveurs pour « limiter la propagation ». Ces réactions, bien qu’humaines, sont souvent les pires.
Face à une attaque par rançongiciel (ransomware), les conseils génériques abondent : « il fallait sauvegarder », « il faut communiquer avec transparence ». Mais que faire, concrètement, quand le système est paralysé et que chaque minute qui passe aggrave les dégâts financiers et réputationnels ? La réponse n’est ni dans la panique, ni dans une technicité que vous ne maîtrisez pas. Elle est dans la stratégie, la discipline et l’ordre. La survie de votre entreprise ne repose pas sur les outils, mais sur une séquence de commandement que le dirigeant doit imposer pour transformer le chaos en une procédure de survie maîtrisée.
Ce guide n’est pas une liste de conseils. C’est un ordre de bataille séquentiel pour les 48 premières heures. Chaque section est une étape, une décision critique à prendre pour reprendre le contrôle non pas de vos serveurs, mais de la situation. Vous êtes le commandant de cette opération de survie. Voici votre plan.
Sommaire : Votre plan de bataille pour les 48 premières heures
- Faut-il dire à vos salariés de rentrer chez eux lors d’une attaque ransomware ?
- Clients, fournisseurs, banques : qui prévenir en premier et avec quels éléments de langage ?
- L’erreur d’éteindre les serveurs et d’effacer les traces nécessaires à l’expertise
- Juriste, IT, Com, RH : qui doit s’asseoir à la table de commandement ?
- Payer ou ne pas payer la rançon : pourquoi l’avis de l’expert négociateur est vital ?
- Campagne SMS et e-mailing de crise : l’assurance prend-elle en charge la communication ?
- Répondre ou se taire : la stratégie gagnante quand la meute se déchaîne sur Twitter
- Pourquoi tenter de réparer un hack soi-même aggrave la situation dans 90% des cas ?
Faut-il dire à vos salariés de rentrer chez eux lors d’une attaque ransomware ?
Premier ordre : non. Le réflexe de vouloir vider les locaux pour « protéger » les employés est une erreur stratégique. Une crise de cette ampleur est un marathon, pas un sprint. La mobilisation intensive des équipes peut durer, selon un rapport de Wavestone, 3 semaines au minimum. Renvoyer tout le monde chez soi, c’est créer un vide informationnel, alimenter la panique et se priver de forces vives essentielles. Le confinement ne doit pas être physique, mais numérique.
Votre mission est d’établir un protocole de confinement opérationnel. Isolez les systèmes, pas les humains. Les salariés non essentiels à la gestion de crise doivent être informés de manière claire et concise : le système d’information est compromis, des investigations sont en cours, leurs missions sont suspendues ou adaptées en mode dégradé jusqu’à nouvel ordre. Ils doivent recevoir des instructions précises sur ce qu’ils doivent faire et ne pas faire (ne pas se connecter, ne pas utiliser les appareils de l’entreprise).
Pendant ce temps, les équipes clés (IT, direction, communication) sont mobilisées sur le pont. L’objectif est de maintenir une structure de commandement visible et active. Communiquer en interne n’est pas une option, c’est une arme. Un personnel informé, même avec des informations partielles, est un personnel qui ne spécule pas et qui fait confiance à sa direction. Le silence, lui, est le meilleur allié des rumeurs et de la perte de contrôle.
Clients, fournisseurs, banques : qui prévenir en premier et avec quels éléments de langage ?
Une fois le périmètre interne maîtrisé, la deuxième bataille se joue à l’extérieur. La question n’est pas de savoir s’il faut communiquer, mais dans quel ordre et avec quel message. Votre réputation est en jeu. La priorité absolue est de segmenter vos parties prenantes et d’adapter le discours. Le principe directeur est la maîtrise totale du message : pas de communication non validée par la cellule de commandement.
L’ordre de priorité est le suivant :
- Partenaires stratégiques et régulateurs : Votre assureur cyber (le « Breach Coach ») doit être le premier informé. Il est votre allié principal. Ensuite, viennent les autorités (CNIL pour la fuite de données, dépôt de plainte).
- Clients et fournisseurs critiques : Ceux dont l’activité dépend directement de la vôtre. Le message doit être factuel, sans spéculation. « Nous faisons face à un incident de cybersécurité. Nos systèmes sont actuellement indisponibles. Nos équipes sont mobilisées pour rétablir la situation. Un nouveau point sera fait à [date/heure]. » Vous reconnaissez l’incident, vous montrez que vous agissez, vous donnez un horizon.
- Banques et partenaires financiers : Pour les prévenir de transactions potentiellement frauduleuses et sécuriser votre périmètre financier.
Cette communication de crise structurée est ce qui a permis à Fondouest, un bureau d’études normand de 60 salariés, de survivre à une attaque majeure. En maintenant un dialogue transparent mais maîtrisé avec ses partenaires, l’entreprise a limité l’impact sur sa réputation malgré une perte financière conséquente. Votre rôle de dirigeant est de valider chaque message, de tenir la ligne, même sous la pression.
Comme le montre cette image, le dirigeant est en première ligne. Chaque appel doit être pesé, chaque mot choisi. Il ne s’agit pas de tout dire, mais de dire ce qui est nécessaire pour maintenir la confiance sans livrer d’informations qui pourraient être exploitées par les attaquants ou les concurrents.
L’erreur d’éteindre les serveurs et d’effacer les traces nécessaires à l’expertise
Face à un incendie, le réflexe est de couper l’arrivée de gaz. Face à une cyberattaque, le réflexe instinctif du dirigeant est souvent « d’éteindre les machines » pour stopper l’hémorragie. C’est l’erreur la plus dévastatrice que vous puissiez commettre. Un système informatique compromis n’est pas une maison en feu, c’est une scène de crime numérique. En éteignant un serveur, vous détruisez les preuves volatiles (contenues dans la mémoire vive) qui sont capitales pour les experts en forensique. Sans ces traces, il est impossible de comprendre le chemin de l’attaquant, d’identifier l’étendue de la compromission et de s’assurer qu’il n’a pas laissé de « portes dérobées ».
L’ordre de la cellule de commandement doit être formel : personne ne touche aux systèmes impactés sans l’aval des experts en réponse à incident. Toute tentative de restauration à partir de sauvegardes, de suppression de fichiers ou de redémarrage « pour voir si ça marche » contamine la scène de crime. Cela rend non seulement l’investigation plus complexe et plus coûteuse, mais peut aussi rendre irrecevable votre dépôt de plainte et invalider votre couverture d’assurance.
Comme le souligne l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’enjeu est de maîtriser le périmètre de l’attaquant. Dans son guide sur la remédiation, l’agence insiste sur la nécessité de contenir l’adversaire :
La limitation des possibilités de latéralisation ou d’escalade de privilèges représente souvent les mesures de sécurité les plus efficaces, sur lesquelles il est recommandé de concentrer les plus gros efforts.
– ANSSI, Guide ANSSI : Piloter la remédiation d’un incident cyber
Cela signifie que la priorité n’est pas de « réparer », mais de « geler » la situation pour permettre une analyse méthodique. L’impatience est votre pire ennemie.
Checklist de préservation de la scène de crime numérique
- Ne pas éteindre : Ne coupez l’alimentation d’aucune machine impactée. De nombreuses traces du rançongiciel sont en mémoire vive et seraient perdues.
- Isoler, ne pas connecter : Déconnectez physiquement les machines du réseau, mais ne vous y connectez pas avec des comptes administrateur qui pourraient être volés par les pirates.
- Tracer chaque action : Utilisez des comptes à usage unique, dédiés à la réponse à incident, pour que chaque intervention soit documentée et identifiable.
- Interdire les outils non validés : N’installez aucun logiciel « miracle » trouvé sur Internet. Il pourrait s’agir d’un autre malware.
- Geler avant de restaurer : Préservez impérativement les traces forensiques (copies disques, logs) avant même d’envisager une quelconque réparation ou restauration.
Juriste, IT, Com, RH : qui doit s’asseoir à la table de commandement ?
Une crise cyber n’est pas un problème informatique ; c’est une crise d’entreprise totale. La réponse ne peut donc pas être déléguée au seul service IT. Le succès de l’opération de survie dépend de la constitution immédiate d’une cellule de commandement pluridisciplinaire. Comme le soulignent les experts en gestion de crise, les premières heures sont décisives et imposent une centralisation du pouvoir de décision. Oubliez les silos et la hiérarchie habituelle. Cette cellule est le cerveau de l’entreprise le temps de la crise.
Chaque membre a un rôle militaire, précis et non interchangeable. L’objectif est de couvrir tous les fronts simultanément : technique, légal, humain et réputationnel. Votre rôle, en tant que dirigeant, est de diriger cet état-major, de trancher les arbitrages et d’être le seul point de validation final.
La composition de cette cellule de crise, inspirée des bonnes pratiques de l’ANSSI, est la clé de voûte de votre stratégie. Le tableau suivant détaille les rôles et responsabilités de chaque acteur indispensable à la table de commandement.
| Rôle dans la cellule | Fonction clé | Responsabilités principales |
|---|---|---|
| Direction générale (CEO/DG) | Décideur stratégique | Valide les décisions majeures (paiement rançon, communication externe), engage les ressources financières |
| RSSI / DSI | Pilote technique | Coordonne la réponse technique, l’investigation forensique, la remédiation des systèmes |
| Juriste / DPO | Gardien légal | Garantit la conformité RGPD, gère les déclarations CNIL, coordonne avec les forces de l’ordre |
| Directeur Communication | Porte-parole | Gère la communication interne et externe, préserve la réputation, coordonne les messages |
| DRH | Gestionnaire humain | Gère le chômage technique si nécessaire, organise les rotations d’équipes, soutien psychologique |
| Breach Coach (Assureur) | Expert externe | Guide les décisions pour garantir la couverture d’assurance, valide les dépenses engagées |
Cette structure n’est pas bureaucratique, elle est opérationnelle. Chaque décision est prise collectivement mais exécutée par le pôle compétent. C’est la fin de l’improvisation et le début de la reprise en main.
Payer ou ne pas payer la rançon : pourquoi l’avis de l’expert négociateur est vital ?
C’est la question à plusieurs centaines de milliers d’euros. La position officielle des autorités est claire : ne jamais payer. Payer, c’est financer le crime organisé et encourager de futures attaques. Pourtant, la réalité du terrain est brutalement différente. Selon une étude Cohesity de 2024, un chiffre alarmant révèle que 92% des entreprises françaises victimes ont payé la rançon. Ce gouffre entre la doctrine et la pratique s’explique par la pression insoutenable qui pèse sur le dirigeant.
Face à une paralysie totale de l’activité, à la menace de fuite de données sensibles et à des pertes qui se chiffrent chaque jour, la rançon peut apparaître comme la seule issue. Au premier trimestre 2024 en France, le montant moyen des rançons demandées s’élevait à 250 000 euros, une somme dévastatrice, notamment pour les PME qui représentent 60% des victimes. Cette décision ne peut donc être prise à la légère, ni basée sur l’émotion. Elle doit être le fruit d’une analyse stratégique froide, menée par la cellule de commandement et éclairée par un expert : le négociateur.
Le négociateur, souvent fourni par l’assureur, n’est pas qu’un simple intermédiaire. Son rôle est de :
- Qualifier l’attaquant : Est-ce un groupe « fiable » qui rend les données, ou un acteur connu pour ne pas tenir ses promesses ?
- Analyser la situation : La récupération des données via les sauvegardes est-elle réellement impossible ou trop longue ? Quel est le coût de l’arrêt de production versus le coût de la rançon ?
- Négocier : Tenter de baisser le montant de la rançon et s’assurer que la clé de déchiffrement sera bien fournie.
La décision finale vous appartient, mais elle doit être informée. Payer sans expertise, c’est jouer à la roulette russe. La citation d’Olivier Savornin, de Cohesity, est à ce titre sans appel :
Si les entreprises payent, c’est essentiellement par manque de préparation.
– Olivier Savornin, Vice-président des ventes EMEA chez Cohesity
Le recours à un expert n’est pas un aveu de faiblesse, mais un acte de lucidité. C’est l’ultime rempart pour prendre la décision la moins dommageable pour l’entreprise.
Campagne SMS et e-mailing de crise : l’assurance prend-elle en charge la communication ?
La communication de crise a un coût direct : outils de diffusion, mobilisation d’agences spécialisées, mise en place de centres d’appels… Ces dépenses, souvent imprévues, peuvent être considérables. La bonne nouvelle est que la plupart des contrats d’assurance cyber modernes couvrent une partie significative de ces frais. Votre police d’assurance n’est pas qu’une protection contre la perte de données ou le paiement de rançon, c’est aussi une enveloppe opérationnelle pour gérer les conséquences de l’attaque.
Cependant, il y a une condition non-négociable : l’accord préalable de l’assureur. Le « Breach Coach », votre contact dédié chez l’assureur, doit valider chaque dépense engagée. C’est pourquoi il est impératif de l’intégrer à la cellule de commandement dès la première heure. Toute initiative de communication coûteuse lancée sans son aval risque de ne pas être remboursée.
L’implication des assureurs est devenue centrale dans la gestion de crise. Le rapport Sophos 2024 indique que pour 83% des rançons payées, une contribution de l’assureur a été impliquée. Cette statistique illustre leur rôle actif, qui s’étend bien au-delà du seul paiement. Ils sont des partenaires stratégiques dans la limitation des dégâts, y compris sur le plan de la réputation.
Le partenariat avec votre assureur est donc un pilier de votre réponse. La validation des dépenses de communication (campagnes SMS, e-mailing, relations presse) doit suivre un processus rigoureux. La cellule de crise propose une stratégie de communication, le directeur de la communication en chiffre le coût, et le Breach Coach donne son feu vert. Cette discipline budgétaire en pleine tempête est essentielle pour garantir que la gestion de crise ne crée pas une crise financière secondaire.
Répondre ou se taire : la stratégie gagnante quand la meute se déchaîne sur Twitter
Quand la nouvelle de l’attaque fuite sur les réseaux sociaux, la crise prend une nouvelle dimension : elle devient publique et incontrôlable. Des clients inquiets, des journalistes, des « experts » autoproclamés et des concurrents malveillants peuvent s’emparer du sujet. Le silence radio peut être interprété comme un aveu de faiblesse ou d’incompétence, tandis qu’une communication maladroite peut jeter de l’huile sur le feu. La stratégie n’est ni le silence total, ni la réponse à chaque interpellation. C’est la maîtrise du récit.
L’ordre est simple : un seul porte-parole (le directeur de la communication, validé par le DG), un seul message, diffusé sur les canaux officiels de l’entreprise (site web, compte Twitter/LinkedIn). Ce message doit reprendre les éléments de langage validés en cellule de crise : reconnaissance de l’incident, mobilisation des équipes, engagement à la transparence lorsque les faits seront établis. Rien de plus. Ne jamais spéculer, ne jamais donner de détails techniques, ne jamais accuser, ne jamais promettre de date de retour à la normale si elle n’est pas certaine.
Comme le rappelait Guillaume Poupard, alors Directeur général de l’ANSSI, la communication est un pilier de la réponse technique, pas une option secondaire.
Lorsqu’une crise cyber survient, l’action des communicants passe trop souvent au second plan. C’est une erreur. Pour une gestion globale de la crise, il est indispensable que la communication travaille main dans la main avec la réponse technique.
– Guillaume Poupard, Directeur général de l’ANSSI, Guide de communication de crise cyber
Ne répondez jamais directement aux interpellations agressives sur les réseaux sociaux. Cela ne fait que donner de la visibilité à vos détracteurs. La stratégie consiste à publier votre déclaration officielle et à y renvoyer systématiquement toute personne qui vous interroge. Vous ne participez pas au débat, vous énoncez les faits depuis une position d’autorité. Cette posture, ferme et contrôlée, est la seule qui permette de traverser la tempête médiatique sans y laisser sa réputation.
À retenir
- Geler la scène de crime : L’ordre absolu est de ne rien toucher. Éteindre ou tenter de réparer soi-même détruit les preuves et aggrave la situation.
- Établir la chaîne de commandement : La réponse n’est pas technique mais stratégique. La cellule de crise (Direction, IT, Juridique, Com, RH, Assureur) est le seul cerveau de l’opération.
- Contrôler le flux d’information : La communication interne et externe doit être centralisée, validée et maîtrisée. Un seul message, un seul porte-parole.
Pourquoi tenter de réparer un hack soi-même aggrave la situation dans 90% des cas ?
L’envie de « reprendre la main » est un instinct puissant pour un dirigeant. Face à l’inaction apparente des experts qui « analysent » au lieu de « réparer », la tentation de faire appel à un ami « qui s’y connaît » ou de demander à ses équipes de restaurer les sauvegardes au plus vite est immense. C’est pourtant le chemin le plus court vers l’aggravation de la crise. Le problème est que le ransomware n’est souvent que la partie visible de l’iceberg. C’est l’acte final d’une intrusion qui a pu durer des semaines, voire des mois.
Tenter une réparation « maison », c’est prendre un risque triple :
- Détruire les preuves : Comme nous l’avons vu, toute action non maîtrisée brise la « chaîne de possession de la preuve ». Sans elle, impossible de mener une action en justice ou de faire jouer pleinement votre assurance.
- Restaurer un environnement compromis : L’attaquant a eu le temps de cartographier votre système et de laisser des portes dérobées. Restaurer vos données sur une infrastructure toujours infectée, c’est l’inviter à revenir frapper quelques semaines plus tard.
- Multiplier les coûts : Une intervention professionnelle sur un système qui a été « bricolé » est infiniment plus complexe. Les experts estiment que le coût final peut être trois à quatre fois supérieur à celui d’une intervention initiale sur un système « gelé ».
La menace est loin d’être anecdotique. Le rapport Sophos 2024 est sans équivoque : avec 74% des entreprises françaises ayant été victimes d’une attaque par ransomware, la France est le pays le plus touché. L’amateurisme n’est plus une option. Faire confiance aux experts, même si leur méthodologie semble lente, est le seul investissement rentable à ce stade de la crise. Votre rôle est de résister à la pression de l’urgence pour permettre un travail de fond qui garantira une reprise d’activité saine et sécurisée.
La survie de votre entreprise dans les 48 heures suivant une attaque ne se joue pas sur le terrain technique, mais sur celui du leadership et de la discipline. Pour transformer ce plan d’action en réflexe opérationnel, l’étape suivante consiste à auditer dès maintenant votre niveau de préparation et à définir formellement la composition de votre cellule de commandement.